Microsoft er den hittil eneste leverandøren som har fått en slik godkjennelse, hevder selskapets juridiske direktør Brad Smith i en kunngjøring.
– EUs datatilsyn har kommet til at Microsofts kontraktsvilkår for nettskyen er i samsvar med de høye kravene til europeiske personvernlover, skriver han.
Kunngjøringen er basert på et brev (pdf) de har mottatt fra EU-organet Artikkel 29-gruppen, bestående av samtlige medlemslands datatilsyn, hvor også Norge deltar med observatørstatus.
Ifølge Smith kan kunder på Azure, Office 365, Dynamics CRM og lignende, nå fritt overføre personopplysninger over landegrensene, gjennom deres datasentraler i EU-området og til resten av verden.
Administrerende direktør Michael Jacobs i Microsoft Norge sier seg svært fornøyd med Artikkel 29s avgjørelse.
– Dette markerer en betydelig milepæl for kunder som vurderer Microsofts skytjenester ved at de kan ha tillit til og vite at produktene er i samsvar med Europas strenge personvernstandarder uansett hvor dataene ligger, sier Jacobs.
Forenkling
I praksis ser det ut til at Microsoft har adoptert EU-kommisjonens standardvilkår (2010/87), som er bindende for Norge gjennom EØS-avtalen, kan Datatilsynet fortelle til digi.no.
– Konsekvensen er at bedrifter som ønsker å overføre personopplysninger til Microsoft nå kan gjøre dette, i flere europeiske land, uten at de lokale datatilsynsmyndighetene har godkjent dataoverføringene på forhånd. Microsofts avtale trenger med andre ord ikke å godkjennes på nytt, svarer tilsynets seniorrådgiver Jørgen Skorstad på vår anmodning om en redegjørelse.
Dette betinger at kunden skriver under på en avtaletekst kalt Enterprise Enrollment Addendum Microsoft Online Services Data Processing Agreement før personopplysningene blir overført. I tillegg må vedleggene til avtalen fylles ut etter boka.
Ifølge Skorstad er det i vedleggene det angis hvilke data som skal overføres, hvem det angår, hvorvidt det er sensitive opplysninger, formål med behandlingen, hvilke sikringstiltak som er iverksatt og så videre.
Det er likevel verdt å merke seg, skriver Skorstad, at Norge i likhet med mange andre land i Europa, også krever forhåndsgodkjenning av dataoverføringen når standardkontrakt 2010/87 benyttes.
Men dette kravet står for fall i stadig flere europeiske land, bemerker han. Også den norske regjeringen arbeider for tiden med å revidere forskriften som regulerer dette.
I forrige måned vedtok EU-parlamentet en ny personvernforordring, som blir gjeldende for alle EU- og EØS-landene. Der legges det opp til en generell regel at det som er godkjent av personvernmyndigheter i ett medlemsland, automatisk godkjennes i alle medlemsland.
Leave a Reply